Microsoft、Windows Defenderの別の「非常に悪い脆弱性」を密かに修正

Microsoftは、Windows DefenderのウイルススキャンエンジンであるMsMpEngマルウェア保護エンジンの別の修正を静かにプッシュしました。

と同じように 最後の「クレイジーバッド」脆弱性、これもGoogleのProjectZeroの研究者であるTavisOrmandyによって発見されましたが、今回はMicrosoftに非公開で開示し、前回の公開に対する批判が何らかの影響を及ぼしていることを示しています。

この脆弱性により、MsMpEngのエミュレーターで実行されるアプリケーションは、エミュレーターを制御して、Windows Defenderが電子メールで送信された実行可能ファイルをスキャンしたときのリモートコード実行を含む、あらゆる種類のいたずらを実行できます。

「MsMpEngには、PE実行可能ファイルのように見える信頼できないファイルを実行するために使用される完全なシステムx86エミュレーターが含まれています。 エミュレータはNTAUTHORITY \ SYSTEMとして実行され、サンドボックス化されていません。 エミュレーターがサポートするwin32APIのリストを閲覧すると、エミュレートされたコードがエミュレーターを制御できるようにするioctlのようなルーチンであるntdll！NtControlChannelに気づきました。」

「エミュレーターの仕事は、クライアントのCPUをエミュレートすることです。 しかし、奇妙なことに、MicrosoftはエミュレーターにAPI呼び出しを可能にする追加の命令を与えました。 Microsoftがエミュレータ用の特別な命令を作成する理由は不明です。 それがおかしなことに聞こえると思うなら、あなたは一人ではありません」と彼は書いています。

「コマンド0x0Cを使用すると、任意の攻撃者が制御するRegularExpressionsをMicrosoft GRETA（2000年代初頭から廃止されたライブラリ）に解析できます。コマンド0x12を使用すると、オペコードを置き換えることができる追加の「マイクロコード」を使用できます。属性とUFSメタデータ。 攻撃者は設定した調査属性を照会し、スキャン結果を介してそれを取得できるため、これは少なくともプライバシーリークのように思われます」とOrmandyは書いています。

「これは潜在的に非常に悪い脆弱性でしたが、たぶんXNUMX週間前にパッチが適用されたMicrosoftの初期のゼロデイほど簡単には悪用できませんでした」とenSiloの共同創設者兼CTOであるUdiYavoはThreatpostとのインタビューで述べています。

Yavoは、ウイルス対策エンジンをサンドボックス化していないことでMicrosoftを批判しました。

「MsMpEngはサンドボックス化されていません。つまり、脆弱性を悪用できる場合はゲームオーバーです」とYavo氏は述べています。

この問題は12月XNUMX日にGoogleのProjectZeroチームによって発見され、先週、アドバイザリを投稿していないMicrosoftによって修正が送信されました。 エンジンは定期的に自動的に更新されます。つまり、ほとんどのユーザーは脆弱ではなくなります。

マイクロソフトは、ソフトウェアを保護するというプレッシャーにさらされており、政府からの協力を強化し、 ユーザーの安全を守るためのデジタルジュネーブ条約.